mikrocontroller.net

Forum: PC Hard- und Software wildcard email Zertifikat


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo.

Es gibt ja für SSL wildcard Zertifikate für eine Domain um damit zB 
einen Webserver abzusichern.
Gibt es sowas auch für eMails?
Ich finde nur Anbieter die eine eMail Adresse "anbieten".
Danke.


Martin

Autor: Reinhard S. (rezz)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Ist es dem Zertifikat nicht egal, ob es einen Mail-,Web- oder 
sonstwas-Server beglaubigt?

Autor: nur zufällig hier (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Im Zertifikat muss ja stehen was es genau beglaubigt. Sonst wäre es 
sinnlos ;-) Auch fur die automatische Prüfung durch die Software.
Du willst ja im Mailprogramm nicht die Anzeige das die Mail mit 
irgendeinen gültigen Zertifikat unterschrieben wurde, du willst die 
Anzeige das der angezeigte Absender das unterschrieben hat.

Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo.

Im Zertifikat ist festgelegt wofür es verwendet werden kann.
zB das letsencrypt Zertifikat von www.mikrocontroller.net als 
SSL-Server-Zertifikat. Damit lassen sich also keine eMails 
unterschreiben.
Ich glaube das steck im Feld erweiterter Schlüsselgebrauch.


Martin

Autor: Gerd E. (robberknight)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Martin schrieb:
> Es gibt ja für SSL wildcard Zertifikate für eine Domain um damit zB
> einen Webserver abzusichern.
> Gibt es sowas auch für eMails?

soweit ich weiß ist das nicht vorgesehen.

Hintergrund ist, daß bei der Nutzung von Zertifikaten für Emails ja eine 
Ende-zu-Ende-Verschlüsselung sowie eine saubere Signatur das Ziel ist.

Wildcard-Zertifikate gelten dagegen prinzipiell für die gesamte Domain 
und sind daher typischerweise nicht Ende-zu-Ende, sondern eher 
Ende-zu-vielen-Enden oder Ende-zu-Zwischenserver. Das ist nicht das, was 
der Kommunikationspartner gegenüber bei S/MIME-verschlüsselter oder 
-signierter Emailkommunikation erwartet.

Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo.

Ich habe noch etwas "rumgesucht". Was und wie genau machen es die 
Gateway Zertifikate?


Martin

Autor: Daniel A. (daniel-a)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Man muss zwischen TLS und S/MIME unterscheiden. Ich verende mein gratis 
letsencrypt wildcard certificat auch für (start)TLS verbindungen zu mein 
postfix Mailserver. Ganz sicher ist das zwar trotzdem nicht, einige 
Mailserver insbesondere vom diversen Mailinglists können kein TLS, 
deshalb kann man es nicht erzwingen, wodurch MITMs bei eingehenden 
Nachrichten trotzdem möglich sind. Beim senden von Mails erzwinge ich 
TLS aber trotzdem. Ich muss irgendwann mal eine art TLS erzwingung für 
zukünftige Verbindungen ab der ersten erfolgreichen TLS verbindung in 
meinen Postfix server einbauen, um das einigermassen sicher zu machen. 
Aber für wirklich sicherheitskritisches nutze ich GPG, dass ist dann 
wenigstens wirklich ende zu ende verschlüsselt. Zu S/MIME kann ich 
nichts sagen, wäre eventuell noch interressant ob es irgendwie 
verwendbar wäre. Ansonsten, grundsätzlich lässt sich jede TCP Verbindung 
über TLS tunneln, egal welcher Port.

PS: Für imap verwende ich Dovecot, ebenfalls mit den selben 
Zertifikaten.

: Bearbeitet durch User
Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo.

Für TLS kann man DANE nutzen. In Postfix dann mit einem Scipt eine Liste 
erstellen mit dane-only für den passenden MX.
Bei S/MIME sehe ich den Vorteil, dass fast jeder eMail Client das nativ 
kann.
Nun will ich meinen Postfix erweitern damit er eingehende eMails, die 
nicht verschlüsselt sind, verschlüsselt: SMILLA.
Aber für eine Sammel-eMail Addresse suche ich eine Art wildcard 
Zertifikat.


Martin

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.